网络安全与用户隐私保护规范目录contents01网络安全简介02网络安全风险03华为网络安全保障体系04伙伴网络安全管理规范什么是网络安全客户网络承载数据/隐私业务连续及健壮的网络完整性可用性机密性可追溯性抗攻击性网络安全Cyber Security ●可用性：是指有权限的人在需要使用网络服务、信息的时候随时可以使用。

比如客户网络账号权限管理。

●完整性：是指信息是准确的、可靠的、完整的，没有被非授权更改。

比如日志必须完整，禁止未经客户授权删除、修改。

●机密性：是指信息只授权给应该知道的人，信息的传播是受到保护和管理的。

●可追溯性：是指提供的产品或服务是可追溯的，比如操作记录、日志等详细的记录了操作的情况。

●抗攻击性：确保产品、数据配置的健壮性，比如防火墙配置要能够经受的住黑客的攻击。

网络安全的定义：●网络安全是指在法律合规下保护产品、解决方案和服务的可用性、完整性、机密性、可追溯性和抗攻击性，及保护其所承载的客户或用户的通信内容、个人数据及隐私、客观信息流动，从而保障客户的业务连续性和合规运营，避免设备供应商、服务供应商的声誉损失及连带责任。

个人数据处理的七个原则原则原则描述合规解读适用的角色Controller Processor正当、合法、透明•数据主体的个人数据应当以正当、合法、透明的方式被处理•个人数据、敏感数据、儿童数据、雇员数据•记录同意、撤回同意•正当性：提供信息（隐私通知）•透明性：提供信息的方式√N/A目的限制•个人数据应当基于具体、明确、合法的目的收集，不应以与此目的不相容的方式进一步处理•新目的合法性•匿名化√N/A数据最小化•处理的个人数据应与处理数据的目的是适当、相关且必要的•充分、不超乎适度、必要√N/A准确性•个人数据应当是准确的，并在必要的情况下及时更新•根据数据处理的目的，采取合理的措施确保及时删除或修正不准确的个人数据•数据的准确性√N/A存储期限最小化•存储个人数据不超过处理目的所必要的期限•留存、销毁方式√N/A完整性与保密性•采取必要的技术或组织措施确保个人数据的适度安全，包括防止未授权或非法处理个人数据、数据丢失或毁损•风险评估、技术与组织措施、加密、化名、访问控制、监测数据泄露√√可归责•数据控制者须负责且能展示遵从上述原则•记录政策与流程、数据处理活动√N/A Processor需严格按照Controller的指示（通常为合同）进行数据处理并按照法律要求维护数据处理行为的记录，若Processor自行决定数据处理的目的和方式，则构成Controller技术风险：技术与业务创新给人们带来巨大的利益，同时也加剧了安全威胁和挑战X 国税局系统被黑，损失5000万美元。

X 国电力网络受到恶意软件攻击，导致数十万用户停电。

X 国企业机构网络被黑，超过8450万客户的隐私信息泄露，含信用卡信息。

X 国网络被黑，约240万用户的个人信息泄露，含信用卡信息。

以获取经济利益为目的的攻击、窃取日益增多，黑客攻击产业化，网络安全事件频发，给相关企业、机构造成巨大经济和声誉损失。

23.5% Inadvertent actor31.5% Malicious insiders 45.0%Outsiders37%Unauthorized access 20%Malicious code 20%Sustained probe / scanWho are the bad guys?Top 3 Cyber security threats根据业界研究，55%的安全威胁来自企业内部人员，37%的安全威胁来自非授权访问，因此对人员的教育管理及相关预防措施非常重要。

垃圾邮件钓鱼网站传统病毒木马蠕虫APT……伪造篡改窃听网络僵尸网络/DDoS非授权访问恶意/间谍软件随着ICT 技术日益开放、网络IP 化、终端智能化、云计算、大数据应用、多业务融合，技术与业务日趋复杂，攻击手段也日趋多样和复杂。

法律风险：各国加强立法保护通信网络安全、个人数据及隐私，违反法律可能导致民事赔偿、行政处罚甚至承担刑事责任法律禁止的网络安全违法行为系统干扰数据干扰设备滥用未授权访问计算机犯罪个人数据违法转移个人数据违法处理非法监听/拦截法律保护的权益部分国家立法举例欧盟：《网络犯罪公约》、《隐私与电子通信指令》、《欧盟数据保护指令/GDPR 》等德国：《刑法》、《电信法》、《数据保护法》等英国：《调查权限法》、《信息自由法》、《数据保护法》、《滥用计算机法》等法国：《刑法》、《数据保护法》、《电子通信法》等美国：《电子通信隐私法》、《计算机欺诈与滥用法》、《国家信息基础设施保护法》、《加强计算机安全法》等通信秘密及自由个人数据及隐私客户通信网络和信息安全2017年6月，《中华人民共和国网络安全法》正式施行，明确网络空间主权原则及共同治理原则。

中国立法举例处罚包括个人和企业应支付罚金和承担法律责任。

罚款金额为人民币5,000元至1,000,000元不等。

法律责任则包括停业、吊销营业执照、个人被免职或者追究当事人的刑事责任等。

第十条：网络安全和数据安全的要求。

第十六条：加大投入、知识产权保护、支持国家网络安全技术创新项目。

第十七条：支持网络安全认证、检测和风险评估等安全服务。

第十八条：网络数据保护和利用、公共数据资源开发、网络安全管理方式创新。

第二十一条：网络安全等级保护制度。

第二十二条：产品服务的强制性准入要求和义务。

第二十三条：网络关键设备和网络安全专用产品的强制性认证或检测。

第三十五条：网络产品和服务需通过国家安全审查。

第三十六条：产品和服务的保密协议。

第三十七条：境外数据传输需进行安全评估。

第三十八条：开展风险检测评估工作。

第四十八条：电子信息发送和应用软件下载的安全。

网络产品及服务提供者责任客户要求：客户提出网络安全要求，而服务过程是多方参与，故网络安全需要各方共同保障设备商物流商合作伙伴客户商业组织研发生产货物运输交付服务网络运营业务分工篡改、植入、病毒、非授权访问、违规转移数据……，网络安全风险贯穿了整个供应和服务过程，涉及供应过程各方，而不仅是设备商。

网络安全风险客户网络安全要求产品安全物流安全服务安全人员安全物流商货物运输运营安全审查/审计华为网络安全保障：华为端到端网络安全保障体系嵌入到各相关业务流程，包括供应商/合作伙伴管理安全目标持续改进需求期望挑战解决方案产品服务法律法规；安全协议，安全询问，安全关注，验证和审计，安全事故澄清，验证产品，透明互信沟通，审计结果, 安全解决方案客户的安全需求其他利益相关方最终用户客户政府客户的安全需求管理与控制愿景、使命、战略、政策、指南、文化运营使能支撑公司业务流程执行安全基线完整的安全需求收集机制建立基线闭环管理基线执行集成产品开发市场到线索线索到回款问题到解决制定战略到执行资产投资管理客户关系管理服务交付供应链采购合作伙伴管理人力资源管理财经管理BT&IT 管理业务支撑管理组织和能力研发、销服、采购、供应链、片联、法务、公关、MKT审计安全基线合作与贡献商业生态环境建立安全基线其他利益相关方最终用户客户政府华为对伙伴的网络安全政策：No Security No Business重视网络安全，管理网络安全，确保网络安全签署网络安全协议风险类别风险项5. 账号管理离职转岗移交默认账号和密码账号共享明文保存密码工程转维6. 操作安全三审批项目安全管理方案网络安全红线工程转维安全问题/事件漏洞管理7. 备件逆向备件数据备件处理通知8.服务工具交付工具、软件来源合规客户授权工具使用白名单管理一线自开发工具风险类别风险项1.数据安全数据客户授权要素完备最小化采集数据处理数据留存数据转移数据删除2.隐私保护隐私脱敏隐私保护3.人员安全网络安全上岗证出差员工安全项目安全培训人员行为管理人员进出项目检查4. 接入安全接入授权要素完备接入环境和平台安全终端安全病毒查杀权限管理服务相关8类35项安全风险纳入伙伴绩效管理质量经理考取上岗证具体要求华为对伙伴的网络安全保障体系要求No.对伙伴的网络安全保障体系要求1建立网络安全保障体系，包括制度、流程和组织。

2员工签署网络安全承诺函，涵盖《网络安全承诺函》的要求。

3网络安全意识及规范的培训和宣导。

4履行对己方供应商、分包商及代理商的管理职责。

5建立安全防御管理措施，防止非法植入木马、后门、病毒、恶意代码等或被篡改程序、数据等。

6网络安全的交付服务环节中对服务活动建立详细的过程记录，以保证可追溯性。

7建立网络安全违规问责及违规行为快速回溯机制，防止问题重发发生。

8建立网络安全应急响应机制，确保问题发生后能采取紧急有效措施解决问题。

9确保其员工按照客户及/或承包方要求，获取、使用并及时归还其授权的账户和密码。

10主动预防网络安全事故、事件及危机的发生，例行开展网络安全稽查和改善活动。

11对关键安全岗位员工设置操作权限，并对其所使用的IT系统设置符合网络安全要求的账户口令，防止其他人员进行操作。

12内部网络应安装防火墙，计算机、服务器等，应安装杀毒软件，防止病毒木马入侵带来的潜在网络安全风险。

13对员工的离职进行管理，包括收回关键信息、停止相应权限以及脱密期管理、签署必要的离职保密承诺书等。

场景No.网络安全行为规范通用1法律法规：遵守所有适用的关于保护个人数据和隐私、通信自由及保障网络安全运行等方面的法律、法规；不得利用网络进行危害国家安全或者社会公共利益的活动、窃取或损害他人的信息、或伤害他人的合法权益。

2客户规章制度：遵守客户的各项规章制度，遵从客户的指示及合同条款来开展服务交付活动，包括网络接入操作、个人数据处理、数据转移等；进出客户机房、网管中心、办公区域、敏感区域（如政府机关、军队等）必须遵从客户或机构的管理规定。

3攻击破坏：不攻击、不破坏客户网络，不破解客户账号密码。

4篡改植入：不篡改产品，不在客户设备和系统中植入任何恶意代码、恶意软件、后门，不预留任何私有的、未公开的接口和账号。

5客户数据处理：未经客户书面授权，不访问（包括远程接入）客户系统，收集、持有、处理、修改客户网络中的任何数据和信息。

不超出客户授权范围收集和处理客户网络数据。

6数据保密：不以任何形式泄漏和传播客户网络中的数据和信息，包括个人数据，对于在提供服务期间获悉的任何信息或数据承担严格的保密义务直至相关信息或数据被合法披露为止；未经客户书面授权，在外部沟通、讨论或演示中不引用任何未公开的客户网络数据和信息。

7数据非法使用：不利用客户系统的信息和数据谋取个人利益或用于其它非法目的。

8物料（故障件、备件等）返回：接收客户物料时需提醒客户清除数据，确认部件中存储的数据已删除。

9应急响应：发现网络安全风险事件时，应即时通知华为业务接口人；发现漏洞时应及时报告华为PSIRT@，在产品漏洞预警发布前，不得对第三方交流、传播、泄露漏洞信息，不得传播攻击、越狱的方法。